@ThomasL
Dein sudo-Gebashe in Ehren, aber wo glaubst du den Unterschied zu einer Schadsoftware zu sehen, die mittels pkexec als UID=0 läuft?
Ohne weitere Schutzmassnahmen ist das Szenario identisch.
Fakt ist, innerhalb des sudo-Pwd-Keep kann ein in der Shell laufender geforkter .bashrc-Befehl mit minimalen Aufwand für die Dauer des PWD-Keep alles machen, was er nur will... einschließlich Programme aus dem Web nachladen und die direkt bei Systemstart unter root-rechten laufen lassen. Bei sudo ist der Pwd-Keep die Default-Einstellung, bei pkexec nicht. Also ist das so mit pkexec nicht möglich. Das ist also absolut nicht identisch.
Das ist kein Bashing, ich stelle nur Fakten fest. Das Einfallstor bei sudo ist der 15-minütige-default-Password-Keep, der bei pkexec nicht voreingestellt ist. Man kann das machen, aber dann muss man das explizit machen... und das ist einigermaßen kompliziert, weil man den Umweg über einen Wrapper gehen muss. Vielleicht geht das noch anders, aber das weiss ich nicht.
Fakt ist, wenn ich bei sudo den Pwd-Keep deaktiviere, kann ich auch gleich pkexec verwenden, weil das Handling dann identisch ist. Wenn ich zudem auch grafische Programme mit root-Rechten starten will, kann ich das -statt mi den Sudo-Prothesen- auch mit pkexec machen. Wenn ich pkexec ohne die Schwächen von sudo und ohne Komfortverlust nutzen kann, kann ich auch ganz auf sudo verzichten.
Und um z.B. des Users ~/.bashrc zu beschreiben benötigt man nun wirklich kein sudo.
Richtig, Du hast es erfasst, nur das das mit Nutzung des Polkits keine Auswirkung hat.... ein kleiner aber feiner Unterschied.